A megbízható tanúsítványok követelményei az iOS 13 és a macOS 10.15 rendszerben

A cikk bemutatja, hogy mik a TLS-kiszolgálótanúsítványokra vonatkozó új követelmények az iOS 13 és a macOS 10.15 rendszerben.

Az összes TLS-kiszolgálótanúsítványnak meg kell felelnie a következő új követelményeknek az iOS 13 és a macOS 10.15 rendszerben:

• Az RSA-kulcsokat használó TLS-kiszolgálótanúsítványoknak és tanúsítványkiadó hatóságoknak legalább 2048 bites kulcsméretet kell használniuk. A 2048 bitnél kisebb méretű RSA-kulcsokat használó tanúsítványok többé nem minősülnek megbízhatónak a TLS esetén.

• A TLS-kiszolgálótanúsítványoknak és a tanúsítványkiadó hatóságoknak az SHA-2 családból származó kivonatoló algoritmust kell használniuk az aláírási algoritmusban. Az SHA-1 aláírású tanúsítványok többé nem minősülnek megbízhatónak a TLS esetén.

• A TLS-kiszolgálótanúsítványoknak a tanúsítvány Subject Alternative Name mezőjében kell megadniuk a kiszolgáló DNS-nevét. A tanúsítvány CommonName mezőjében szereplő DNS-nevek többé nem minősülnek megbízhatónak.

Ezenkívül a 2019. július 1. után kibocsátott (a tanúsítvány NotBefore mezőjében szereplő dátum szerint) TLS-kiszolgálótanúsítványoknak meg kell felelniük a következőknek:

• A TLS-kiszolgálótanúsítványoknak tartalmazniuk kell egy ExtendedKeyUsage (EKU) mezőt, amelyben szerepel az id-kp-serverAuth OID.

• A TLS-kiszolgálótanúsítványoknak 825 vagy kevesebb napig kell érvényesnek lenniük (a tanúsítvány NotBefore és NotAfter mezőben jelzett dátumok szerint).

Az új követelményeknek nem megfelelő TLS-kiszolgálókhoz való csatlakozás meg fog hiúsulni, és előfordulhat, hogy hálózati hibák jelentkeznek, az alkalmazások nem indulnak el, illetve a webhelyek nem töltődnek be a Safariban az iOS 13 és a macOS 10.15 rendszerben.